MyBB 1.6.10 Bypass CSRF Protection

[0pc0deFR]

Je continu dans la lancé des défauts de sécurité MyBB. Nous travaillons sur la version 1.6.10 qui est la dernière version actuellement.

La vulnérabilité a été testé sur le panel d'administration. La page http://server/MyBB/admin/index.php?actio...e0a39c46e5 permet de déconnecter l'utilisateur pour peu que my_post_key corresponde à my_post_key de l'utilisateur demandant la page (et donc l'utilisateur doit être connecté). A savoir que cette key ne change pas à chaque connexion (testé sur plusieurs machines et plusieurs comptes) et est unique à chaque utilisateur.

Admettons la key 527a58366ce545e1635be9e0a39c46e5 pour le compte admin1 et la key e8bfb94fa38932bc756601c6fae90708 pour admin2.

Si j'essaye de déconnecter l'utilisateur admin2 avec la key de admin1 MyBB plante. C'est là que c'est intéressant.

Avec du javascript et de l'AJAX exécuté sur le navigateur de l'administrateur ciblé (type CSRF), il est possible de faire un brute force pour trouver la key my_post_key.

Quel intérêt une fois la valeur my_post_key trouvé?
my_post_key est la valeur de sécurisation des formulaires MyBB sur le panel administrateur. L'anti-CSRF en somme. Il est donc possible de contourner la protection CSRF avec la valeur de my_post_key et donc d'expoiter une CSRF avec les techniques basiques d'exploitation.

En soit c'est très difficile d'exploitation car il faut énormément de ressources pour faire un brute force de ce type car ce n'est pas une petite chaîne qui est recherchée mais une chaîne de 32 caractères (un MD5) mais ça à le mérite d'être une vulnérabilité et surtout pour vos sites perso, faites attention à ça.